Vvmebel.com

Новости с мира ПК
6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Movemenoreg vbs как удалить вирус

KINGSLON

Заработок, финансы, создание и продвижение сайтов

Популярные публикации

  • Вирус создал ярлык флешки на флешке 399 просмотров
  • Samsung Galaxy S8 скидка 80 % 141 просмотр
  • Наборщик текста страховой взнос 122 просмотра
  • ТОП популярных хэштегов ВКонтакте 72 просмотра
  • Шрифт как ВКонтакте на фото 69 просмотров
  • Развод копия Galaxy S8 59 просмотров
  • Развод с QIWI кошельком 47 просмотров
  • Как восстановить удаленную страницу ВКонтакте 44 просмотра
  • Сообщество было заблокировано за резкую смену тематики 37 просмотров
  • Развод сборка ручек на дому 32 просмотра

Вирус создал ярлык флешки на флешке

Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли.

Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки — это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.

По запросу «ярлык флешки на флешке» поисковики вывели довольно много вопросов пользователей на различных сервисах и форумах. Вероятно вирус начал активно распространяться недавно и проблема актуальна не только для меня.

Как исправить ситуацию

Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.

Вернуть файлы на флешку

Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:

cd /d X: (вместо Х вы вводите букву каталога вашей флешки)

attrib -s -h -a -r /s /d *.* (прописываете точно как указано)

Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия «-» будут лежать все исчезнувшие файлы и папки.

Вам останется лишь удалить лишние файлы, и вырезать из папки «-» ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).

Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.

Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.

Удалить вирус

Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.

Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.

Process Explorer v16.20

Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.

Жмем Ctrl + L и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe .

Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf .

Во временной папке Temp ( C:users%username%AppDataLocalTemp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).

Всё, теперь вы точно удалили вирус и с флешки и с компьютера.

Winset

Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.

Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:Users<Имя пользователя>AppDataRoaming скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

Похожие публикации:

Навигация по записям

71 комментарий

У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.

Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.

Читать еще:  Понятие социальной статики и социальной динамики ввел

У меня тоже самое. Что делать?

Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.

Благодарю за отзыв, рад что смог помочь

Столкнулся с такой проблемой — флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь — C:UsersДмитрийAppDataRoamingWinset Но сначала надо на панели управления — свойства папки — вид-поставить точку — показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла — они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер — и отформатировал флешку при подключении и всё.

Когда я словил вирус, Касперский его еще не обнаруживал.

Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.

Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

Movemenoreg vbs как удалить вирус

На флешке все папки стали ярлыками -решено!
Данный пост будет как бы приквелом (если говорить киношными терминами) посту «Скрытые папки на флешкe» ибо и в том и в том виноват один вирус. Итак, воткнув в один прекрасный момент флешку в компьютер, вы замечаете некоторые изменения — все папки на флешке стали ярлыками и обзавелись характерным знаком отличия — стрелочкой. Вроде бы можно подумать, что и ничего страшного, ведь если нажать на ярлык вы переместитесь в нужную папку и продолжите работу как ни в чем не бывало, работает и ладно. Но именно это и нужно было создателям вируса — нажимая на ярлык, вас перемешают не только в вашу папку, но и заставляют выполнить заражение компьютера, на котором вы зашли в папку. Можно очень долго ходить с зараженой флешкой и инфицировать компьютеры, а ведь нам этого совсем не хочется.
Backdoor.win32.ruskill и ярлыки на флешке

Ответственность за создание ярлыков на флешке и превращение папок в скрытые взял на себя вирус-террорист Backdoor.win32.ruskill, которыми данными действиями предоставляет злоумышленнику удаленный доступ к зараженному компьютеру. Функционал у вируса впечатляет — от кражи конфиденциальной информации до DDoS атак, но расписывать все в данной теме не буду, ибо это целый отдельный пост. Вернемся к нашим баранам ярлыкам.

Итак, как уже выяснили Backdoor.win32.ruskill делает все папки скрытыми, создает на них ярлыки с запуском заражения. Найти вирус на флешке проще простого — нужно посмотреть свойства ярлыка и путь куда он ссылается. Вызвав свойства вы уведите такую строку:

%windir%system32cmd.exe /c «start %cd%RECYCLERe5e88а22.exe &&%windir%explorer.exe %cd%Имя папки

Из этого пути сразу видно, что вирус лежит в скрытой папке RECYCLER (как включить отображение скрытых папок читаем здесь http://zone-pc.ru/index.php/praktikum/show-hidden-fil..). По большому счет — можно и гадалке не ходить, а сразу вычищать данную папку — ещё не встречал случаев, чтобы он был в другом месте. После удаления вируса, вы уже не сможете попадать в папку через ярлык, работать он не будет. Можно смело удалять все ярлыки.

После удаления ярлыков вы столкнетесь с проблемой — папки остануться скрытыми и изменить их вам просто так не удастся.
Здесь два варианта:

1. В ручную, через Total Commander изменить атрибуты папок. Об этом я писал в статье Скрытые папки на флешкe — вирус постарался [Решено]

2. Либо создать bat-файл с содержимым:

attrib -s -h -r -a /s /d

После чего его запустить.

Данные действия помогут вам избавится от вируса на флешке и вернуть нормально отображение папок. Останется разобраться с самим главным виновником, ибо антивирусы его зачастую игнорируют. Сам Backdoor.win32.ruskill прописывается по этим адресам:

C:Documents and SettingsимяLocal SettingsApplication Dataвирус.exe

Вирусный exe файл будет иметь имя из 6 случайных латинских букв и цифр.

Физически вирус мы устранили, но он все же оставил свой след и в реестре. Заходим в редактор реестра (Выполнить — Regedit) и удаляем его из ветки:

Выполнив все это мы окончательно убьем заразу на своем компьютере.
Вроде все. Вроде ничего не забыл написать о вирусе Backdoor.win32.ruskill и появлении ярылков на флешке вместо папок. Остались вопросы? Вы всегда их можете задать в комментариях.

Читать еще:  Как выключить полностью антивирус

мой коментарий1 на сайте: хакер2013:
Ваш комментарий ожидает проверки.
27 марта 2013 в 21:19

Вирус создает на флешке ярлык на скрытую папку на флешке

3 месяца). Сегодня, когда активировал пробную версию антивируса и обновив его, провел проверку ноутбука и флешки на наличие вирусов. Антивирус удалил с флешки следующие файлы «helper.vbs», «installer.vbs», «movemenoreg.vbs». С ноута антивирус тоже вроде эти файлы удалил, я закрыл лог сканирования ноута в антивирусе, поэтому точно не помню. После удаления антивирусом этих файлов, ярлык в корне флешки не открывает скрытую папку. Пробовал скопировать файлы с флешки и отформатировать флешку. После форматирования ярлык не создается, но если вытащить и вставить флешку обратно, то ярлык создается, но не открывает скрытую папку с файлами.

Вирус создает на флешке ярлык на скрытую папку на флешке
Доброго времени суток. Словил вирус на флэшку,который создает скрытую папку на флешке с названием.

Вирус, который создает на флешке скрытую папку под названием 5f5f5
Появился у меня вирус, который создает на флешке скрытую папку под названием 5f5f5. Кто знает, что.

Вирус создаёт ярлык на флешке на невидимую системную папку где находятся все файлы
Я пытался сам от него избавиться. удалял все системные файлы в флешке, надеясь что один из них.

Вирус создает ярлык на флешке
После подключения флешек к моему компьютеру, в корне флешки создается ярлык на скрытую папку, в.

Решение

Внимание! Рекомендации написаны специально для пользователя Михаил О. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Решение

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

Решение

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Флешка создала ярлык самой себя? Это вирус!

Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки — вы должны это понимать что это вирус.

Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.

Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но — при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.

Вирус уникален также тем, что распространяется только при помощи флешок.

Так вот, теперь перейдем к самому главному — как исправить эту ситуацию.

Лечение от вируса на флешки, который создает ярлык

Подключаем такую флешку к компьютеру и запускаем командную строку, для этого нажимаем Win + R. Появится черное окошко, то есть консоль. В нее пишем следующее:

cd /d F: (у меня к примеру флешка это буква F, у вас может быть другая, так что будьте внимательны);
attrib -s -h -a -r /s /d *.* (*.* — это маска, означает что «лечить» будем все файлы на флешке);

После этого мы можем открыть флешку и увидеть что все файлы на месте.

После этого необходимо удалить все файлы, и оставить только autorun.inf.

Теперь нам нужно открыть программу Process Explorer, если ее у вас нет, то загрузите ее здесь.

Открываем Process Explorer, переходим в меню File (вверху) и выбираем там Show Details for All Processes чтобы были видны все процессы.

Читать еще:  Трояны вирусы это

Зажимаем комбинацию Ctrl+L, после этого появится окошко в нижней части программы, где будут все процессы. Теперь необходимо найти файл autorun.inf, как правило он находится в ветке svchost.exe.

Теперь нажимаем правой кнопкой по найденному процессу и выбираем закрыть хендл (Close handle) — обычно это проходит без проблем. И уже после этого мы удаляем файл autofun.inf из флешки.

После этого нам нужно попасть во временную папку Temp, пусть который такой: C:users%username%AppDataLocalTemp (можете скопировать и вставить в адресную строку проводника). В этой папке необходимо найти необычный файл, у которого расширение .pif, мы можем как вручную его искать, так и воспользоваться поиском, но лучше все удалить из этой папки, хуже от этого не будет компьютеру, а вот лучше — скорее всего да.

Если вы все сделали правильно, то больше этого вируса у вас не будет ни на компьютере, ни на флешке.

Лучше после всех действий проверить компьютер на вирусы, если у вас нет установленного, то я рекомендую использовать ESET Online Scanner.

Рубрика: Полезно знать / Метки: флешка / 20 Август 2014 / Подробнее

Movemenoreg vbs как удалить вирус

На флешке все папки стали ярлыками -решено!
Данный пост будет как бы приквелом (если говорить киношными терминами) посту «Скрытые папки на флешкe» ибо и в том и в том виноват один вирус. Итак, воткнув в один прекрасный момент флешку в компьютер, вы замечаете некоторые изменения — все папки на флешке стали ярлыками и обзавелись характерным знаком отличия — стрелочкой. Вроде бы можно подумать, что и ничего страшного, ведь если нажать на ярлык вы переместитесь в нужную папку и продолжите работу как ни в чем не бывало, работает и ладно. Но именно это и нужно было создателям вируса — нажимая на ярлык, вас перемешают не только в вашу папку, но и заставляют выполнить заражение компьютера, на котором вы зашли в папку. Можно очень долго ходить с зараженой флешкой и инфицировать компьютеры, а ведь нам этого совсем не хочется.
Backdoor.win32.ruskill и ярлыки на флешке

Ответственность за создание ярлыков на флешке и превращение папок в скрытые взял на себя вирус-террорист Backdoor.win32.ruskill, которыми данными действиями предоставляет злоумышленнику удаленный доступ к зараженному компьютеру. Функционал у вируса впечатляет — от кражи конфиденциальной информации до DDoS атак, но расписывать все в данной теме не буду, ибо это целый отдельный пост. Вернемся к нашим баранам ярлыкам.

Итак, как уже выяснили Backdoor.win32.ruskill делает все папки скрытыми, создает на них ярлыки с запуском заражения. Найти вирус на флешке проще простого — нужно посмотреть свойства ярлыка и путь куда он ссылается. Вызвав свойства вы уведите такую строку:

%windir%system32cmd.exe /c «start %cd%RECYCLERe5e88а22.exe &&%windir%explorer.exe %cd%Имя папки

Из этого пути сразу видно, что вирус лежит в скрытой папке RECYCLER (как включить отображение скрытых папок читаем здесь http://zone-pc.ru/index.php/praktikum/show-hidden-fil..). По большому счет — можно и гадалке не ходить, а сразу вычищать данную папку — ещё не встречал случаев, чтобы он был в другом месте. После удаления вируса, вы уже не сможете попадать в папку через ярлык, работать он не будет. Можно смело удалять все ярлыки.

После удаления ярлыков вы столкнетесь с проблемой — папки остануться скрытыми и изменить их вам просто так не удастся.
Здесь два варианта:

1. В ручную, через Total Commander изменить атрибуты папок. Об этом я писал в статье Скрытые папки на флешкe — вирус постарался [Решено]

2. Либо создать bat-файл с содержимым:

attrib -s -h -r -a /s /d

После чего его запустить.

Данные действия помогут вам избавится от вируса на флешке и вернуть нормально отображение папок. Останется разобраться с самим главным виновником, ибо антивирусы его зачастую игнорируют. Сам Backdoor.win32.ruskill прописывается по этим адресам:

C:Documents and SettingsимяLocal SettingsApplication Dataвирус.exe

Вирусный exe файл будет иметь имя из 6 случайных латинских букв и цифр.

Физически вирус мы устранили, но он все же оставил свой след и в реестре. Заходим в редактор реестра (Выполнить — Regedit) и удаляем его из ветки:

Выполнив все это мы окончательно убьем заразу на своем компьютере.
Вроде все. Вроде ничего не забыл написать о вирусе Backdoor.win32.ruskill и появлении ярылков на флешке вместо папок. Остались вопросы? Вы всегда их можете задать в комментариях.

мой коментарий1 на сайте: хакер2013:
Ваш комментарий ожидает проверки.
27 марта 2013 в 21:19

Ссылка на основную публикацию
Adblock
detector